La XRP Ledger Foundation ha avvertito di una vulnerabilità di sicurezza nell'SDK JavaScript ufficiale, che interagisce con XRPL.
Il 21 aprile, Aikido Security ha rivelato che diverse versioni del suo software Node Package Manager (NPM) erano state compromesse e pubblicate, contenenti una backdoor in grado di rubare chiavi private agli utenti.
Difetto di sicurezza nel kit per sviluppatori
La XRP Ledger Foundation ha confermato il problema in una dichiarazione del 22 aprile:
"Oggi, un ricercatore di sicurezza di @AikidoSecurity ha identificato una grave vulnerabilità nel pacchetto xrpl npm (v4.2.1-4.2.4 e v2.14.2)."
In risposta alla violazione, Wietse Wind, fondatore e CEO di XRPL Labs, ha rassicurato gli utenti che Xaman Wallet non era interessato dalla falla. Wind ha spiegato che il prodotto non utilizza xrpl.js ma si affida invece alle librerie xrpl-client e xrpl-accountlib, che separano la connettività del portafoglio dal processo di firma.
Ha inoltre spiegato dettagliatamente come si è svolto l'incidente, affermando che il codice dannoso nel pacchetto xrpl.js ha inviato chiavi private generate o importate a un server esterno controllato dall'aggressore. Ciò ha consentito agli hacker di raccogliere coppie di chiavi, attendere che i portafogli venissero finanziati e quindi rubare le risorse.
Wind ha esortato chiunque abbia recentemente creato un portafoglio XRP utilizzando l'API o strumenti correlati a presumere che sia stato compromesso e a trasferire immediatamente i propri fondi.
Ha sottolineato che tali attacchi possono capitare a qualsiasi software che si basa su librerie di terze parti e che gli sviluppatori devono prendere precauzioni. Ha inoltre consigliato di limitare l’accesso alla pubblicazione, scansionare il codice prima del rilascio, evitare pipeline di pubblicazione automatica e non gestire direttamente le chiavi private se non completamente preparati a gestire i rischi associati.
XRPL rilascia una patch urgente
In seguito all'incidente, la XRP Ledger Foundation ha rilasciato una versione pulita del pacchetto NPM, rimuovendo il codice dannoso e garantendo che l'SDK possa essere riutilizzato in modo sicuro dagli sviluppatori.
Aikido Security ha scoperto la vulnerabilità dopo che il suo sistema automatizzato di monitoraggio delle minacce ha segnalato aggiornamenti sospetti al pacchetto XRPL su NPM. Questi aggiornamenti, pubblicati da un utente chiamato "mukulljangid", includevano cinque nuove versioni che non corrispondevano ad alcuna versione ufficiale sul repository GitHub di XRP Ledger.
Dopo aver indagato, Aikido ha scoperto che le versioni compromesse contenevano una funzione dannosa chiamata checkValidityOfSeed, che inviava chiavi private al server dell'hacker all'indirizzo 0x9c[.]xyz, quando gli utenti creavano un portafoglio che poteva consentire loro di rubare le loro criptovalute.
Le prime versioni (v4.2.1 e v4.2.2) nascondevano la backdoor nei file JavaScript compilati, mentre le versioni successive (v4.2.3 e v4.2.4) incorporavano il codice dannoso direttamente nei file sorgente TypeScript, rendendolo più difficile da rilevare. I pacchetti compromessi hanno anche rimosso strumenti di sviluppo come Prettier e creato script dal file package.json, mostrando una manipolazione intenzionale.
L’incidente arriva solo poche settimane dopo che Ripple ha annunciato l’ acquisizione da 1,25 miliardi di dollari della società di prime brokeraggio Hidden Road, una mossa che secondo gli esperti trasformerà XRPL in un importante canale per i fondi istituzionali.
Secondo Brad Garlinghouse, CEO di Ripple, la rete verrà utilizzata per i regolamenti post-negoziazione su alcune transazioni, trasformandola potenzialmente in una piattaforma di compensazione e credito su scala aziendale .
Il post XRP Ledger SDK compromesso da Backdoor Exploit è apparso per la prima volta su CryptoPotato .